Sicherer Login per Java

8D · 16. Januar 2013

Hey,

ich arbeite schon etwas länger mit Java, aber ich bräuchte mal kurz einen Rat. Und zwar ist Java ja recht "unsicher", bzw. ist es ja sehr einfach eine .jar zu decompilen und dann intime Infos z.B herauszulesen.
Ich habe in meiner Anwendung eine AnmeldeMaske (JTextField & JPasswordField), und nun möchte ich mich sicher einloggen. (Daten aus einer MYSQL Datenbank abrufen).

Nun wäre es ja ziemlich doof, das eingegebene Passwort, oder die MYSQL Daten irgendwo in einer Klassenvariable abzulegen also habe ich mir folgendes überlegt. Beim Klicken auf Login encrypte ich das eingegebene Passwort mit einem Double Sha1 Hash, und sende Usernamen und das gehashte Passwort an eine .php Datei auf dem Server (POST), welche den Login mit diesen Daten überprüft und bei erfolgreichem Login, mir die Daten aus der Datenbank zurück an die Anwendung sendet. (PHP gibt die Daten aus, und ich lese sie per InputStreamReader ein).

Nun würde ich gerne wissen, wie hoch das Sicherheitsrisiko beim Login ist, und in wie weit das ganze gesniffed werden kann (das gehashte PW ist ja "sicher", aber die Daten aus der Datenbank lese ich ja non-hashed von der Website aus ein.)

Habt ihr bessere Vorschläge?

Das ganze ist eine Anwendung und kein Applet!

Gruß

namespace · 16. Januar 2013

Jap, wenn du so was machen möchtest, gibt es im Prinzip nur noch eine sicherere Methode: Mittels einem TCP-Server, welcher die Daten die du brauchst aus der Datenbank ausliest und mit deiner Anwendung kommuniziert.
Jedoch ist das auch eine gute Methode, und ziemlich sicher.

Solange du darauf achtest, das man im PHP Script keine SQL-Injection vornehmen kann, und bspw. noch einen gehashten Timestamp (mit Salt) übergibst, ist das ziemlich sicher.

myu · 16. Januar 2013

Also, ich weiß nicht wie sicher dieses Variante wäre aber mit einer externen Datei auf einen Webserver zB checklogin.php?name=asds&pwhash=A9SAD533 oder anderes wärst du auf der Sicheren Seite...

8D · 16. Januar 2013

Zitat von namespace

Solange du darauf achtest, das man im PHP Script keine SQL-Injection vornehmen kann, und bspw. noch einen gehashten Timestamp (mit Salt) übergibst, ist das ziemlich sicher.

Jap sicher vor SQL-Injection ist das PHP Script.
Wie genau meinst du das mit dem Timestamp?

@Unbekannter, das mache ich ja schon, nur mit POST_METHOD anstatt GET_METHOD

Danke.

namespace · 16. Januar 2013

Du erstellst in deiner Java Anwendung einen Unix Timestamp.

Bspw. "183912938". An diesen hängst du dann einen Salt an, also z.B. "183912938.blabla". Das ganze verlüsselst du dann bspw. mit Base64 o. Ä. und gibst es an das PHP Script.
Dieses entschlüsselt das wieder und liest den Timestamp aus, löscht also den Salt. Dann überprüft das PHP Script, ob die Timestamp-Differenz des abgeschickten Timestamps mit der aktuellen (im PHP Script generierten) Zeit kleiner als bspw. 5 Sekunden ist und gibt nur dann die Daten frei.

Schützt bspw. vor Man-In-The-Middle.

8D · 16. Januar 2013

Okay, hatte ich dann doch richtig verstanden, wollte nur noch mal nachfragen, vielen Dank.

Zitat von namespace

Schützt bspw. vor Man-In-The-Middle.

Und vor Server-Timeouts

Jan · 17. Januar 2013

Schreib dir doch schnell einen Java Masterserver mit MySQL Backend, wobei ich sogar UDP präferiere. Dann am besten noch nen ThreadPool, in etwa so:

Code

private int corePoolSize = 150;
private int maxPoolSize	 = 8192;
private int keepAliveTime = 10;
final ArrayBlockingQueue<Runnable> workQueue = new ArrayBlockingQueue<Runnable>(8192);


public void StartServer() {
	try {
		getInstance();
		DatagramSocket ServerSocket = new DatagramSocket(9876);
		DatagramPacket Packet = null;
		ThreadPoolExecutor ThreadPool = new ThreadPoolExecutor(corePoolSize, maxPoolSize, keepAliveTime, TimeUnit.SECONDS, workQueue);
		    while(true) {
		    	for(int i = 0; i <= 149; i++) {
		    	    Packet = new DatagramPacket(Data, Data.length);
			    ServerSocket.receive(Packet);
			    checkInstance(i);
			    ThreadPool.execute(new Worker(Connection[i], Packet));
		    	}  	
		    }
	} catch (IOException e) {
		 System.err.println(e);
	}	
}

Alles anzeigen

MySQL Backend dann über JDBC

Den Worker dann dementsprechend:

Code

public class Worker implements Runnable {
	private DatagramPacket Packet;
	private Connection Connection;
	public Worker(Connection Connection, DatagramPacket Packet) {
		this.Connection = Connection;
		this.Packet	= Packet;
	}
	public void run() {


	}
}

Alles anzeigen

8D · 17. Januar 2013

Da ich noch von anderen Plattformen und mit anderen Sprachen auf die Datensätze zugreifen muss, halte ich die den Weg über die PHP Datei für sinnvoller, trotzdem danke.

breadfish.de 11. März 2022